2011年04月25日

AR560S、AR550Sで、インターネットVPN(IPsec)とL2TP+IPsecリモートアクセスVPNを両立させる設定・・・・・センター側のみ

AR560S、AR550Sを利用して、インターネットVPN(IPsec)を構築する例は、アライドテレシスの構築例にありますので、そちらを見ればすぐにできるのですが、そこから発展させて、WindowsクライアントやiPhoneなどのスマートフォンからもアクセスさせる設定を同時に行うのは、参考例がありません。

PPPoEインターネット接続環境における3点間IPsec VPN(フルメッシュ、全拠点アドレス固定)

リモートアクセス型L2TP+IPsec VPN(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)


一応、設定コマンドの中身を理解できれば、それぞれの設定例が掲載されているのでわかるとは思うのですが、一応参考例を作成してみましたので、掲載しておこうかと思います。

私自身のメモとして残しておこうかと思っているので、多少間違っているかもしれませんが。。。。。


また、拠点の方のルータ設定については、掲載しません。
センター側のルータ設定のみ掲載します。


設定は以下から。


設定の概要図は

vpn-vpnclient.jpg



===========================================================================
#Security Officerレベルのユーザー「secoff」を作成します。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓

#インターネット接続の設定を作成します。
#物理ポート・・・eth0
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 BAP=OFF USER="user@ispA" PASSWORD="isppass" ↓
SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON ↓


#IPモジュールを有効にします。
ENABLE IP ↓

#LAN側(valn1)にIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓

#WAN側に固定IPアドレス(200.100.10.1)を設定します。
ADD IP INT=ppp0 IP=200.100.10.1 MASK=255.255.255.255 ↓

#デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓


#DNSリレー設定を行います。
#DNSのフォワーディング先は、ppp0に割り当てられたDNSサーバに設定します。
ENABLE IP DNSRELAY ↓
ADD IP DNS INT=ppp0 ↓



#暗号化されたL2TPトンネル経由で接続してくるVPNクライアントの接続認証設定をします。
#(PPPユーザー)
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓

#IPアドレスプールを「VPNC」という名前で作成します。
#ここでは、接続してくるクライアントに192.168.8.1から192.168.8.10の
#IPアドレスを割り当てる設定を行います。
CREATE IP POOL="VPNC" IP=192.168.8.1-192.168.8.10 ↓

#L2TP経由でVPNクライアントが接続してきたときに、動的に作成するPPPインターフェースの
#テンプレート「1」を作成します。
#接続時の認証はCHAP、CHAPの再認証はOFF、VJ圧縮を有効にします。
#アドレスの割り当ては、IPプール「VPNC」を利用します。
CREATE PPP TEMPLATE-1 IPPOOL=VPNC
AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓


#L2TPモジュールを有効にします。
ENABLE L2TP ↓

#L2TPサーバをBOTHモードで起動します。
ENABLE L2TP SERVER=BOTH ↓

#L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。
#アクセスしてくるアドレスが不定なので、どこからでも受けられるように指定します。
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓

>>>


>>>

#ファイアウォールの設定を行います。
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIRWEALL POLICY=net IDENTPROXY ↓


#VPNクライアントがL2TP経由で接続してきたときに作成されるPPPインターフェース用
#のファイアウォール設定を行います。
#最初に、ダイナミックインターフェーステンプレートを「vpnif」という名前で作成し
#ます。
CREATE FIREWALL POLICY=net DYNAMIC=vpnif ↓

#次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定し
#ます。
#USERパラメーターで指定したユーザーが接続してきたときに動的作成されるPPPインター
#フェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」
#として参照できます(templatenameはテンプレート名)。
#ここでは対象ユーザーとして「ANY」を指定しています。
#これは、PPPの認証をパスしたすべてのユーザーが対象であることを示します。
ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓

#ファイアウォールポリシーの適用インターフェースを指定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=DYN-vpnif TYPE=PRIVATE ↓

ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-vpnif GBLINT=ppp0 ↓



#VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)
#がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=500
GBLIP=200.100.10.1 PORT=500 IP=200.100.10.1 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=4500
GBLIP=200.100.10.1 PORT=4500 IP=200.100.10.1 ↓


#基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを
#通過させるためのルールを設定します。
#「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとで
#このルールを適用することを示します。
#よって、以下のコマンドは、「取り出したパケットがUDPで終点ポートが1701番
#(L2TPパケット)ならば許可する」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=ALLO INT=ppp0 PROT=UDP GBLPORT=1701
GBLIP=200.100.10.1 PORT=1701 IP=200.100.10.1 ENCAP=IPSEC ↓


#インターネットVPNの通信をNATの対象から除外する設定をします。
ADD FIREWALL POLICY=net RULE=5 AC=NONAT INT=vlan1 PROT=ALL
IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=5 REMOTEIP=192.168.20.1-192.168.20.254 ↓


#インターネットVPN接続のIPsecパケットが遮断されてしまうので、パケットを通過
#させる設定を行います。
#よって以下のコマンドは、「取り出したパケットの終点が192.168.10.1〜192.168.10.254、
#つまり、ローカル側LANならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=10 AC=NONAT INT=PPP0 PROT=ALL
IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓


#外部よりTELNETで接続して設定が可能なようにします。
#※この設定はあまり推奨しません。
ADD FIREWALL POLICY=net RULE=21 AC=ALLOW INT=ppp0 PROT=TCP PORT=23
IP=192.168.10.1 GBLIP=200.100.10.1 GBLP=23 ↓



#ISAKMP用の事前共有鍵を作成します。
#インターネット側の事前共有鍵・・・secreta-b
#L2TP接続用・・・secret

#インターネット用
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secreta-b" ↓

#L2TP用
CREATE ENCO KEY=2 TYPE=GENERAL VALUE="secret" ↓

#ルータBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_B」を作成します。
#KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはルーターBの
#IPアドレスを指定します。
CREATE ISAKMP POLICY="i_B" PEER=200.100.20.1 KEY=1
SENDN=TRUE HEARTBEATMODE=BOTH ↓


#ルータBとのIPsec通信の仕様を定義するSAスペック「1」を作成します。
#トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、
#暗号化方式「AES128」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP
ENCALG=AES128 HASHALG=SHA ↓


#インターネットVPN用にSAスペック「1」だけからなるSAバンドルスペック「1」を作成します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓


#L2TP経由でアクセスしてくるVPNクライアント用のISAKMPポリシー「i」を作成します。
#ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、
#Oakleyグループは「2」を使用し、VPNクライアントとの認証には前の手順で作成した
#事前共有鍵(鍵番号「2」)を使います。
#さらに、クライアントのIPアドレスが不定なためPEERにANYを指定し、
#NAT-Traversalを有効にしています。
CREATE ISAKMP POLICY="i" PEER=any KEY=2 SENDN=TRUE NATTRAVERSAL=TRUE ↓
SET ISAKMP POLICY="i" ENCALG=2DESOUTER HASHALG=SHA GROUP=2 ↓


#DPDを有効にします。
SET ISAKMP POLICY="i" DPDMODE=both ↓

#L2TP経由で接続してくるクライアント用の、IPsec通信の仕様を定義するSAスペック「2」
#を作成します。
#鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式 「AES256bit」、
#認証方式「SHA」に設定します。
#この例ではL2TPによってトンネリングを行うため、デフォルトのトンネルモードは
#使用せずに、トランスポートモードを使用します。
#UDP1701番ポートを使って送受信されるL2TPパケットだけを暗号化する形になります。
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256
HASHALG=SHA MODE=TRANSPORT ↓


#同様にSAスペック「3」を作成します。
#鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式 「AES128bit」、
#認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128
HASHALG=SHA MODE=TRANSPORT ↓


#同様にSAスペック「4」を作成します。
#鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式 「3DESOUTER」、
#認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=4 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER
HASHALG=SHA MODE=TRANSPORT ↓


#SAスペック「2」、「3」、「4」からなるSAバンドルスペック「2」を作成します。
#鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=2 KEYMAN=ISAKMP STRING="2 or 3 or 4" ↓


#IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせる
#IPsecポリシー「isa」「nat」を作成します。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=nat INT=ppp0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓


#インターネットVPNの設定
#ルーターBとのIPsec通信に使用するIPsecポリシーを「vpn_B」という名前で、
#PPPインターフェース「0」に対して作成します。
#鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、
#BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn_B" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP
BUNDLE=1 PEER=200.100.20.1 ↓


#IPsecポリシー「vpn_B」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します
SET IPSEC POLICY="vpn_B" LAD=192.168.10.0 LMA=255.255.255.0
RAD=192.168.20.0 RMA=255.255.255.0 ↓



#VPNクライアントの設定
#L2TPパケットを暗号化するIPsecポリシーを「L2」という名前で、
#PPPインターフェース「0」に対して作成します。
#鍵管理方式には「ISAKMP」を指定します。VPNクライアントのIPアドレス
#が不定なため、PEERにはISAKMPの認証をパスした相手という意味の
#「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「2」
#を指定します。
#また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)
#を指定します。
CREATE IPSEC POLICY=L2 INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=2
PEER=DYNAMIC ↓
SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓


#インターネットへの平文通信を許可するIPsecポリシー「inet」を
#PPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓

#IPsecモジュールを有効にします。
EABLE IPSEC ↓

#ISAKMPモジュールを有効にします。
ENABLE ISAKMP ↓


#Security Officerレベルのユーザーでログインしなおします。
LOGIN secoff ↓


#動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓


以上の設定で完了ですので、コンフィグを作成し、SET CONFIGコマンドで起動時設定
ファイルに指定をします。


===========================================================================



参考までに。


posted by Debring at 19:34 | Comment(12) | TrackBack(0) | VPN
この記事へのコメント
Buying ’ http://canadianpharmacyv.com/ canadian pharmacy for details., Check out special offers to online canadian pharmacy http://canadapharmacyonlinev.com/ to minimize specific symptoms, the best dealDon't let your age control your sex life. Visit online prescription http://bestcanadianpharmacyv.com/ Visit today., Good pharmacies offer discounts when you canadian pharmacy king http://canadaonlinepharmacyv.com/ ., Become healthy again when you best canadian pharmacy http://canadianpharmacyonlinev.com/ for ED patients. Visit and learn more. !
Posted by ZpanaggSM at 2017年02月16日 11:40
online cash advance ’ https://www.lahecashadvanceloans.com/ payday loan in
Posted by at 2017年05月02日 08:47
Posted by at 2017年05月06日 09:14
Posted by at 2017年05月11日 08:15
online personal loans - https://personalloansntui.com/
get payday loan <a href="https://personalloansntui.com/">get payday loan</a> ’
Posted by LtujJarTL at 2017年05月18日 16:00
cash advance inc - https://cashadvanceaxi.org/
bad credit payday loans <a href="https://cashadvanceaxi.org/">cash advance</a> ’
Posted by LmklJarES at 2017年05月18日 16:03
car insurance company - https://carinsurancecompaniesmu.com/
auto insurance quote <a href="https://carinsurancecompaniesmu.com/">car insurance</a> ’
Posted by at 2017年05月20日 07:52
auto insurance coverage - https://onlineautoinsurancetbn.com/
general car insurance <a href="https://onlineautoinsurancetbn.com/">compare car insurance</a> ’
Posted by at 2017年05月20日 08:13
installment loans poor credit - https://personalloansxjil.org/
installment loans for poor credit <a href="https://personalloansxjil.org/">instant payday loans</a> ’
Posted by at 2017年05月23日 06:11
payday loans - https://badrcredithpaydayloans.org/
payday loans online <a href="https://badrcredithpaydayloans.org/">loans people bad credit</a> ’
Posted by BfasJarEH at 2017年05月26日 06:18
best auto insurance - https://bestqcarinsurance.org/
auto insurance coverage <a href="https://bestqcarinsurance.org/">general car insurance</a> ’
Posted by SwqJarQQ at 2017年05月26日 06:30
payday loans near me - https://bestbtpaydayloans.org/
cash advance near me <a href="https://bestbtpaydayloans.org/">cash advance usa</a> ’
Posted by JbfcJarGT at 2017年05月26日 08:56
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。